a) gelden de in Richtlijn 95/46/EG gegeven definities;

b) wordt onder „bijzondere categorieën gegevens” verstaan: de in artikel 8 van die richtlijn bedoelde gegevens;

c) wordt onder „toezichthoudende autoriteit” verstaan: de in artikel 28 van die richtlijn bedoelde autoriteit;

d) wordt onder „gegevensexporteur” verstaan: de voor de verwerking verantwoordelijke die de gegevens doorgeeft;

e) wordt onder „gegevensimporteur” verstaan: de voor de verwerking verantwoordelijke die ermee instemt van de gegevensexporteur persoonsgegevens voor verdere verwerking te ontvangen in overeenstemming met de voorwaarden van deze beschikking.

1.  Specificiteit: gegevens mogen alleen worden verwerkt en vervolgens worden gebruikt en doorgegeven voor de specifieke doeleinden die in aanhangsel 1 bij de clausules zijn vermeld. Gegevens mogen niet langer worden bewaard dan nodig is voor de doeleinden waarvoor zij werden doorgegeven.

2.  Kwaliteit en evenredigheid van de gegevens: de gegevens moeten correct en, waar van toepassing, geactualiseerd zijn. Zij moeten passend en relevant zijn en mogen niet excessief zijn in verhouding tot de doeleinden van de doorgifte of van de verdere verwerking.

3.  Transparantie: aan de betrokkenen moet informatie worden verstrekt over de doeleinden van de verwerking en de identiteit van de voor de verwerking verantwoordelijke in het derde land, alsmede alle andere informatie die nodig is om een deugdelijke verwerking te garanderen, tenzij deze informatie reeds door de gegevensexporteur is verstrekt.

4.  Beveiliging en vertrouwelijkheid: de voor de verwerking verantwoordelijke moet technische en organisatorische beveiligingsmaatregelen treffen die zijn afgestemd op de risico's van de verwerking, zoals onrechtmatige toegang. Eenieder die onder het gezag van de voor de verwerking verantwoordelijke staat, met inbegrip van een verwerker, mag de gegevens enkel volgens zijn instructies verwerken.

5.  Recht van toegang, rectificatie, uitwissing en afscherming van gegevens: overeenkomstig artikel 12 van Richtlijn 95/46/EG moet de betrokkene recht hebben op toegang tot alle hem betreffende gegevens die worden verwerkt alsmede, waar van toepassing, op rectificatie, uitwissing of afscherming van gegevens waarvan de verwerking niet in overeenstemming met de in dit aanhangsel vermelde beginselen heeft plaatsgehad, met name wanneer de gegevens onvolledig of onjuist zijn. Tevens moet de betrokkene zich op dwingende en legitieme gronden met betrekking tot zijn bijzondere situatie tegen de verwerking van de hem betreffende kunnen verzetten.

6.  Beperking van verdere doorgiften: een volgende doorgifte van persoonsgegevens door de gegevensimporteur aan een andere voor de verwerking verantwoordelijke in een derde land dat geen passende bescherming biedt of waarop geen beschikking van de Commissie krachtens artikel 25, lid 6, van Richtlijn 95/46/EG van toepassing is (verdere doorgifte), is alleen toegestaan wanneer aan een van de volgende voorwaarden wordt voldaan:

a) de betrokkenen hebben hun ondubbelzinnige toestemming gegeven voor de verdere doorgifte, indien de doorgifte bijzondere categorieën gegevens betreft, of zijn, in de overige gevallen, in de gelegenheid gesteld zich tegen de doorgifte te verzetten.

— de doeleinden van de verdere doorgifte,

— de identiteit van de in de Gemeenschap gevestigde gegevensexporteur,

— de categorieën verdere ontvangers van de gegevens en de landen van bestemming,

— de mededeling dat de gegevens na de verdere doorgifte kunnen worden verwerkt door een voor de verwerking verantwoordelijke in een land waar geen passende bescherming van de persoonlijke levenssfeer van natuurlijke personen wordt gewaarborgd; of

b) de gegevensexporteur en de gegevensimporteur stemmen ermee in dat een andere voor de verwerking verantwoordelijke zich bij de clausules aansluit en daarmee partij bij de clausules wordt en dezelfde verplichtingen aangaat als de gegevensimporteur.

7.  Bijzondere categorieën gegevens: wanneer gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt of gegevens die de gezondheid of het seksuele leven betreffen, dan wel gegevens inzake overtredingen, strafrechtelijke veroordelingen of veiligheidsmaatregelen worden verwerkt, moeten aanvullende waarborgen worden geboden in de zin van Richtlijn 95/46/EG, met name door passende beveiligingsmaatregelen zoals de toepassing van sterke encryptie bij de gegevensoverdracht of zoals de registratie van iedere toegang tot gevoelige gegevens.

8.  Direct marketing: wanneer gegevens voor directmarketingdoeleinden worden verwerkt, moeten er doeltreffende procedures bestaan die de betrokkene in staat stellen zich op ieder ogenblik tegen het gebruik van zijn persoonsgegevens voor dergelijke doeleinden te verzetten („opt-out”).

9.  Geautomatiseerde individuele besluiten: de betrokkene heeft het recht niet te worden onderworpen aan een besluit dat uitsluitend op de automatische verwerking van gegevens is gebaseerd, tenzij andere maatregelen worden getroffen om de gerechtvaardigde belangen van de betrokkene te waarborgen overeenkomstig artikel 15, lid 2, van Richtlijn 95/46/EG. Wanneer de doorgifte een geautomatiseerd besluit in de zin van artikel 15 van Richtlijn 95/46/EG tot doel heeft, dat wil zeggen een besluit waaraan voor de betrokkene rechtsgevolgen zijn verbonden of dat hem in aanmerkelijke mate treft en dat louter wordt genomen op grond van een geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid, zoals beroepsprestatie, kredietwaardigheid, betrouwbaarheid, gedrag enzovoort te evalueren, moet hij recht hebben op informatie over de redenen voor dit besluit.

1.  Specificiteit: gegevens mogen alleen worden verwerkt en vervolgens worden gebruikt en doorgegeven voor de specifieke doeleinden die in aanhangsel 1 bij de clausules zijn vermeld. Gegevens mogen niet langer worden bewaard dan nodig is voor de doeleinden waarvoor zij werden doorgegeven.

2.  Recht van toegang, rectificatie, uitwissing en afscherming van gegevens: overeenkomstig artikel 12 van Richtlijn 95/46/EG moet de betrokkene recht hebben op toegang tot alle hem betreffende gegevens die worden verwerkt alsmede, waar van toepassing, op rectificatie, uitwissing of afscherming van gegevens waarvan de verwerking niet in overeenstemming met de in dit aanhangsel vermelde beginselen heeft plaatsgehad, met name wanneer de gegevens onvolledig of onjuist zijn. Tevens moet de betrokkene zich op dwingende en legitieme gronden met betrekking tot zijn bijzondere situatie tegen de verwerking van de hem betreffende kunnen verzetten.

3.  Beperking van verdere doorgiften: een volgende doorgifte van persoonsgegevens door de gegevensimporteur aan een andere voor de verwerking verantwoordelijke in een derde land dat geen passende bescherming biedt of waarop geen beschikking van de Commissie krachtens artikel 25, lid 6, van Richtlijn 95/46/EG van toepassing is (verdere doorgifte), is alleen toegestaan wanneer aan een van de volgende voorwaarden wordt voldaan:

a) de betrokkenen hebben hun ondubbelzinnige toestemming gegeven voor de verdere doorgifte, indien de doorgifte bijzondere categorieën gegevens betreft, of zijn, in de overige gevallen, in de gelegenheid gesteld zich tegen de doorgifte te verzetten.

— de doeleinden van de verdere doorgifte,

— de identiteit van de in de Gemeenschap gevestigde gegevensexporteur,

— de categorieën verdere ontvangers van de gegevens en de landen van bestemming,

— de mededeling dat de gegevens na de verdere doorgifte kunnen worden verwerkt door een voor de verwerking verantwoordelijke in een land waar geen passende bescherming van de persoonlijke levenssfeer van natuurlijke personen wordt gewaarborgd; of

b) de gegevensexporteur en de gegevensimporteur stemmen ermee in dat een andere voor de verwerking verantwoordelijke zich bij de clausules aansluit en daarmee partij bij de clausules wordt en dezelfde verplichtingen aangaat als de gegevensimporteur.

a) hebben de begrippen „persoonsgegevens”, „bijzondere categorieën gegevens/gevoelige gegevens”, „verwerken/verwerking”, „voor de verwerking verantwoordelijke”, „verwerker”, „betrokkene” en „toezichthoudende autoriteit/autoriteit” hier dezelfde betekenis als in Richtlijn 95/46/EG van 24 oktober 1995 (waarbij „de autoriteit” betekent: de bevoegde gegevensbeschermingsautoriteit op het grondgebied waar de gegevensexporteur is gevestigd);

b) wordt onder „gegevensexporteur” verstaan: de voor de verwerking verantwoordelijke die de persoonsgegevens doorgeeft;

c) wordt onder „gegevensimporteur” verstaan: de voor de verwerking verantwoordelijke die ermee instemt om overeenkomstig de voorwaarden van deze bepalingen persoonsgegevens voor verdere verwerking van de gegevensexporteur te ontvangen en die niet onderworpen is aan een systeem voor passende bescherming van een derde land;

d) worden onder „bepalingen” deze contractbepalingen verstaan, die een afzonderlijk document zijn dat geen commerciële voorwaarden bevat die door de partijen in afzonderlijke commerciële overeenkomsten zijn vastgelegd.

a) De persoonsgegevens worden verzameld, verwerkt en doorgegeven overeenkomstig de wetgeving die van toepassing is op de gegevensexporteur.

b) Er is een redelijke inspanning gedaan om vast te stellen dat de gegevensimporteur in staat is zijn wettelijke verplichtingen volgens deze bepalingen na te leven.

c) De gegevensimporteur krijgt op verzoek kopieën van de relevante wetgeving inzake gegevensbescherming of verwijzingen daarnaar (indien relevant, en zonder juridisch advies) van het land waar de gegevensexporteur is gevestigd.

d) Er wordt geantwoord op informatieverzoeken van de betrokkenen en van de autoriteit in verband met de verwerking van de persoonsgegevens door de gegevensimporteur, tenzij de partijen zijn overeengekomen dat de gegevensimporteur antwoordt; indien de gegevensimporteur hiertoe niet bereid of in staat is, antwoordt de gegevensexporteur binnen de mate van wat redelijkerwijs mogelijk is en verstrekt de informatie die redelijkerwijs beschikbaar is. Een antwoord wordt binnen een redelijke termijn gegeven.

e) Op verzoek wordt een kopie van de bepalingen aan de betrokkenen ter beschikking gesteld in het kader van rechten in verband met het derdenbeding volgens bepaling III, tenzij de bepalingen vertrouwelijke informatie bevatten, die dan mag worden verwijderd. Indien gegevens worden verwijderd, stelt de gegevensexporteur de betrokkenen daarvan schriftelijk in kennis en wijst hij hen op het recht om deze verwijdering bij de autoriteit te melden. De gegevensexporteur verbindt zich er evenwel toe zich te richten naar een besluit van de autoriteit inzake de toegang tot de volledige tekst van de bepalingen voor de betrokkenen, mits de betrokkenen zich ertoe verbinden de vertrouwelijkheid van de verwijderde gegevens te respecteren. Indien nodig verstrekt de gegevensexporteur tevens een kopie van de bepalingen aan de autoriteit.

a) Er wordt voorzien in de nodige technische en organisatorische maatregelen om de persoonsgegevens te beschermen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, verlies, vervalsing, ongeoorloofde verspreiding of toegang, en die een passend beveiligingsniveau garanderen gelet op de risico's die de verwerking en de aard van de te beschermen gegevens met zich brengen.

b) Er wordt in procedures voorzien om te garanderen dat elke derde partij die toegang krijgt tot de persoonsgegevens, met inbegrip van verwerkers, de vertrouwelijkheid en veiligheid ervan respecteert. Elke persoon die onder de verantwoordelijkheid van de gegevensimporteur handelt, met inbegrip van een verwerker, is verplicht de persoonsgegevens alleen volgens de instructies van de gegevensimporteur te verwerken. Deze bepaling is niet van toepassing op personen die bij wet of regelgeving geautoriseerd of verplicht zijn om toegang te hebben tot de persoonsgegevens.

c) Er is geen reden om aan te nemen dat op het ogenblik dat deze bepalingen worden toegepast, enige lokale wetgeving van kracht is die een belangrijk negatief effect zou hebben op de garanties van deze bepalingen; indien het bestaan van dergelijke wetgeving bekend wordt, wordt de gegevensexporteur daarvan in kennis gesteld, die op zijn beurt indien nodig de autoriteit inlicht.

d) De persoonsgegevens worden verwerkt voor de toepassingen als beschreven in bijlage B, en de gegevensimporteur de wettelijke bevoegdheid bezit om de in deze bepalingen genoemde garanties te verstrekken en verbintenissen na te komen.

e) Aan de gegevensexporteur wordt mededeling gedaan over een contactpunt bij de gegevensimporteur dat bevoegd is om op zijn informatieverzoeken inzake de verwerking van persoonsgegevens te antwoorden; in verband met deze informatieverzoeken wordt te goeder trouw en binnen een redelijke termijn gezorgd voor een goede samenwerking met de gegevensexporteur, de betrokkene en de autoriteit. Wanneer de gegevensexporteur wettelijk wordt opgeheven, of indien de partijen zodanig overeenkomen , neemt de gegevensimporteur de verantwoordelijkheid over voor de naleving van bepaling I, onder e).

f) Op verzoek van de gegevensexporteur wordt aan deze documentatie overgelegd waaruit blijkt dat er voldoende financiële middelen beschikbaar zijn voor de naleving van de in bepaling III opgesomde verantwoordelijkheden (eventueel inclusief verzekeringskosten).

g) Op redelijk verzoek van de gegevensexporteur worden met het oog op controle, audit en/of certificering door de gegevensexporteur (of een door de gegevensexporteur gekozen en door de gegevensimporteur geaccepteerde groep onafhankelijke en onpartijdige inspecteurs of auditeurs) het gegevensverwerkingssysteem, de gegevensbestanden en de voor de verwerking noodzakelijke documentatie opengesteld om na te gaan of alle garanties en verbintenissen van deze bepalingen worden nageleefd; zulks met een redelijke aankondiging vooraf en tijdens gewone kantooruren. Dit verzoek moet eventueel door een regelgevende of toezichthoudende autoriteit in het land van de gegevensimporteur worden toegestaan of goedgekeurd; deze toestemming of goedkeuring wordt door de gegevensimporteur tijdig aangevraagd.

h) De persoonsgegevens worden naar keuze van de gegevensimporteur overeenkomstig de volgende bepalingen verwerkt:

i) de wetgeving inzake gegevensbescherming in het land van vestiging van de gegevensexporteur; of

ii) de relevante bepalingen ( 1 ) van besluiten van de Commissie krachtens artikel 25, lid 6, van Richtlijn 95/46/EG, wanneer de gegevensimporteur de relevante bepalingen van een dergelijke toestemming of een dergelijk besluit naleeft en gevestigd is in een land waarop dergelijke toestemming of dergelijk besluit betrekking heeft, maar niet is gedekt door dergelijke toestemming of dergelijk besluit wat de doorgifte van persoonsgegevens betreft ( 2 ), of

iii) de beginselen voor gegevensverwerking neergelegd in bijlage A.

i) De persoonsgegevens worden niet bekendgemaakt of doorgegeven aan een derde voor de verwerking verantwoordelijke buiten de Europese Economische Ruimte (EER), tenzij de gegevensexporteur over de doorgifte wordt ingelicht en

i) de derde voor de verwerking verantwoordelijke de persoonsgegevens verwerkt overeenkomstig de bepalingen van een besluit van de Commissie waarin wordt vastgesteld dat een derde land passende bescherming biedt, of

ii) de derde voor de verwerking verantwoordelijke deze bepalingen of een andere door een bevoegde autoriteit in de Europese Unie goedgekeurde overeenkomst inzake doorgifte van gegevens ondertekent, of

iii) de betrokkenen de mogelijkheid is geboden zich te verzetten, na te zijn geïnformeerd van het doel van de doorgifte, de categorieën ontvangers en het feit dat de landen waarnaar de gegevens worden geëxporteerd er eventueel andere normen voor gegevensbescherming op na houden, of

iv) de betrokkenen ondubbelzinnig hebben ingestemd met de verdere doorgifte van gevoelige gegevens.

a) Elke partij is aansprakelijk tegenover de andere partij voor schade die door niet-naleving van deze bepalingen wordt toegebracht. De aansprakelijkheid tussen de partijen blijft beperkt tot werkelijk opgelopen schade. Schadevergoedingen met een bestraffend karakter (d.w.z. schadevergoedingen bedoeld om een partij voor onacceptabele handelswijzen te bestraffen) zijn uitdrukkelijk uitgesloten. Elke partij is aansprakelijk tegenover de betrokkenen voor schade toegebracht door inbreuken op de rechten van derde partijen krachtens deze bepalingen. Dit heeft geen gevolgen voor de aansprakelijkheid van de gegevensexporteur krachtens diens eigen wetgeving inzake gegevensbescherming.

b) De partijen stemmen ermee in dat een betrokkene in het kader van het derdenbeding het recht heeft om de toepassing van deze bepaling, alsook van de bepalingen I.b), I.d), I.e), II.a), II.c), II.d), II.e), II.h), II.i), III.a), V., VI.d), en VII tegenover de gegevensimporteur of -exporteur bij niet naleving van hun respectieve contractuele verplichtingen inzake zijn persoonsgegevens af te dwingen, en zij aanvaarden in dit verband de rechtsbevoegdheid van het land van vestiging van de gegevensexporteur. Bij klachten over niet-naleving door de gegevensimporteur moet de betrokkene eerst de gegevensexporteur verzoeken de nodige actie te ondernemen om zijn rechten tegenover de gegevensimporteur te doen gelden; indien dit niet binnen een redelijke termijn gebeurt (onder normale omstandigheden één maand), kan de betrokkene zijn rechten tegenover de gegevensimporteur direct doen gelden. De betrokkene heeft het recht rechtstreeks een zaak aan te spannen tegen een gegevensexporteur die niet voldoende inspanningen heeft gedaan om te bepalen of de gegevensimporteur aan zijn verplichtingen volgens deze bepalingen kan voldoen (waarbij de bewijslast bij de gegevensexporteur ligt).

a) Indien een geschil ontstaat of door een betrokkene of de autoriteit tegen één of beide partijen een eis wordt ingesteld inzake de verwerking van persoonsgegevens, lichten de partijen elkaar wederzijds in over dit geschil of deze eis en werken zij samen met het oog op een spoedige minnelijke schikking ervan.

b) De partijen stemmen ermee in mee te werken met elke algemeen-beschikbare niet-bindende bemiddelingsprocedure die door een betrokkene of de autoriteit wordt ingeleid. Daarbij kunnen de partijen kiezen voor medewerking op afstand (bv. via telefoon of andere elektronische middelen). De partijen zeggen ook toe hun deelname aan andere vormen van arbitrage, bemiddeling of geschillenbeslechting die voor geschillen inzake gegevensbescherming zijn ontwikkeld, in overweging te nemen.

c) Elke partij voegt zich naar een besluit van een bevoegde rechtbank in het land van vestiging van de gegevensexporteur of van de autoriteit, wanneer dit definitief is en ertegen geen beroep meer mogelijk is.

a) Indien de gegevensimporteur zijn verplichtingen krachtens deze bepalingen niet naleeft, kan de gegevensexporteur de doorgifte van persoonsgegevens aan de gegevensimporteur tijdelijk opschorten tot de inbreuk ongedaan is gemaakt of de overeenkomst beëindigd.

b) Ingeval

i) de doorgifte van persoonsgegevens aan de gegevensimporteur door de gegevensexporteur overeenkomstig punt a) voor een periode langer dan een maand tijdelijk is opgeschort;

ii) de naleving van deze bepalingen door de gegevensimporteur een inbreuk zou vormen op de wettelijke of regelgevende verplichtingen in zijn land;

iii) de gegevensimporteur in belangrijke en voortdurende mate in gebreke blijft ten aanzien van garanties of verbintenissen krachtens deze bepalingen;

iv) een definitief en niet voor beroep vatbaar besluit van een bevoegde rechtbank in het land van vestiging van de gegevensexporteur of van de autoriteit vaststelt dat de gegevensimporteur of -exporteur deze bepalingen heeft overtreden; of

v) een aanvraag is gedaan voor een akkoord of liquidatie met betrekking tot de gegevensimporteur, hetzij als individu of instelling, en deze aanvraag niet binnen de daartoe in de toepasselijke wetgeving vastgestelde termijn wordt afgewezen; een besluit tot liquidatie wordt genomen; een curator wordt aangesteld over de bezittingen; een faillissementsbeheerder wordt aangewezen, indien de gegevensimporteur een individuele persoon is; een vrijwillige schikking door het bedrijf wordt opgestart; of enige andere equivalente gerechtelijke maatregel wordt getroffen;

c) Elke partij kan aan deze bepalingen een einde stellen indien i) door de Commissie een positieve vaststelling van gepastheid wordt uitgevaardigd krachtens artikel 25, lid 6, van Richtlijn 95/46/EG (of enige tekst die deze richtlijn vervangt) voor het land (of een deel daarvan) waarnaar de gegevens worden doorgegeven en waar zij door de gegevensimporteur worden verwerkt, of indien ii) Richtlijn 95/46/EG (of enige tekst die deze richtlijn vervangt) rechtstreeks van toepassing wordt in een land.

d) De partijen stemmen ermee in dat de beëindiging van deze bepalingen, om het even wanneer, om het even in welke omstandigheden, en om het even om welke reden (behalve om de reden van bepaling VI.c), geen afbreuk doet aan de verplichtingen en/of voorwaarden waaraan de partijen krachtens deze bepalingen onderworpen zijn inzake de verwerking van doorgegeven persoonsgegevens.

1. Beperking van het doel: Persoonsgegevens mogen alleen worden verwerkt en daarna gebruikt of verder doorgegeven voor de in bijlage B beschreven doeleinden, of indien de betrokkene daar achteraf toestemming toe geeft.

2. Kwaliteit en evenredigheid van de gegevens: De persoonsgegevens moeten correct en zo nodig bijgewerkt zijn. De persoonsgegevens moeten toereikend, ter zake dienend en niet bovenmatig zijn, uitgaande van de doeleinden waarvoor zij worden doorgegeven of verder verwerkt.

3. Transparantie: De betrokkenen moeten worden geïnformeerd om een correcte verwerking te waarborgen (zoals informatie over de doeleinden van de verwerking en doorgifte), tenzij deze informatie reeds door de gegevensexporteur is verstrekt.

4. Veiligheid en vertrouwelijkheid: Er moeten door de voor de verwerking verantwoordelijke overeenkomstig de bij verwerking bestaande risico’s technische en organisatorische beveiligingsmaatregelen worden getroffen, zoals tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, verlies, vervalsing, ongeoorloofde bekendmaking of toegang. Eenieder die onder het gezag van de voor de verwerking verantwoordelijke staat, met inbegrip van een verwerker, mag alleen volgens zijn instructies gegevens verwerken.

5. Recht van toegang, rectificatie, uitwissing en verzet: Zoals bepaald in artikel 12 van Richtlijn 95/46/EG moet aan de betrokkenen, hetzij rechtstreeks of via een derde partij, de persoonlijke informatie worden verstrekt die door een organisatie over hen wordt bijgehouden; dit geldt niet voor duidelijk abusieve verzoeken (onredelijke termijnen, steeds herhaald, systematisch), of waaraan krachtens de wetgeving in het land van de gegevensexporteur niet tegemoetgekomen kan worden. Indien de autoriteit hier vooraf mee heeft ingestemd, hoeft de toegang ook niet te worden verleend indien daardoor de belangen van de gegevensimporteur of van andere met de gegevensimporteur samenwerkende organisaties ernstig zouden kunnen worden geschaad en indien deze belangen niet moeten wijken voor de fundamentele rechten en vrijheden van de betrokkene. De bronnen van de persoonsgegevens hoeven niet te worden geïdentificeerd indien dit niet redelijkerwijs mogelijk is, of wanneer de rechten van andere personen erdoor zouden worden geschonden. De betrokkenen moeten hun persoongegevens kunnen rectificeren, aanvullen of wissen wanneer deze niet correct zijn of tegen deze beginselen in zijn verwerkt. Indien er dwingende redenen zijn om aan de gegrondheid van een verzoek te twijfelen, kan de organisatie verder bewijsmateriaal eisen alvorens over te gaan tot rectificatie, aanvulling of uitwissing. De rectificatie, wijziging of uitwissing hoeft niet te worden medegedeeld aan de derde partijen aan wie de gegevens zijn doorgegeven, indien dit een onevenredig grote inspanning vergt. De betrokkenen moeten ook in staat worden gesteld zich te verzetten tegen de verwerking van de eigen persoonsgegevens indien daar dwingende rechtmatige persoonlijke gronden toe bestaan. De bewijslast in geval van weigering ligt bij de gegevensimporteur, en de betrokkene kan de weigering steeds bij de autoriteit aanvechten.

6. Gevoelige gegevens: De gegevensimporteur neemt de nodige aanvullende maatregelen (bv. i.v.m. beveiliging) om gevoelige gegevens overeenkomstig de verplichtingen van bepaling II te beschermen.

7. Gegevens gebruikt voor marketingdoeleinden: Indien gegevens worden verwerkt met directe marketingdoeleinden, moeten er doeltreffende procedures bestaan om de betrokkene in staat te stellen op elk moment voor een „opt-out” te kiezen.

8. Geautomatiseerde besluiten – Met„geautomatiseerde besluiten” wordt hier bedoeld: een besluit door de gegevensexporteur of –importeur dat wettelijke of andere significante gevolgen heeft voor de betrokkene en dat uitsluitend gebaseerd is op een automatische verwerking van de persoonsgegevens ter evaluatie van persoonlijke aspecten, zoals prestaties op het werk, kredietwaardigheid, betrouwbaarheid, gedrag, enz. De gegevensimporteur neemt geen geautomatiseerde besluiten in verband met de betrokkenen, behalve indien:

a)

 

b) hierin is voorzien door de wetgeving van de gegevensexporteur.